时间:2024-09-03
在当今社会,上网即对互联网的使用,已经成为人们工作、生活不可分隔的重要组成部分。作为重要的信息“源地”的图书馆,在现代信息技术快速发展和应用的时代,同样也面临者提供数字化服务的新要求,并推动图书馆朝着信息化、处理自动化、媒体多样化、馆藏数字化、通信网络化和服务手段渠道多样化的方向转型和发展。
以有线网络和无线网络为基础,以智能手机为代表的移动终端,在互联网应用技术的支持下,大有“一部手机走天下”的气势。许多图书馆都在建设和不断完善数字化服务体系,尤其是国家“211”,“985”高校图书馆在这方面表现的更为突出,其中一些高校已初步实现了如短信、微信、WAP移动数字化图书馆在线服务。但随着图书馆数字化服务步伐的加快以及基于数字化服务路径的增加,数字化图书馆体系所面临的网络信息安全问题日益突出。作为互联网世界应用的主要组成部分,同样也面临着各种不安全因素的威胁。就目前而言,更多的图书馆机构首先关注的图书馆数字化服务功能的实现,由于资金、安全意识等原因,对于实现数字化多路径服务时产生的安全问题重视不够,安全体系建设与数字化服务功能建设不够同步。
因此,本文着重对数字化多路径服务过程中图书馆数字化网络信息安全问题的综合防护措施进行研究分析。
根据中国互联网络信息中心(CNNIC)发布的第35次“中国互联网络发展状况统计报告”,截至2014年12月,我国网民规模达 6.49亿,全年共计新增网民 3117万人。互联网普及率为47.9%,较2013年底提升了2.1个百分点。到2014年12月,我国手机网民规模达5.57亿,较2013年增加5672万人。网民中使用手机上网的人群提升至85.8%。
2014年3月21日,中国互联网协会、国家互联网应急中心在京发布“中国互联网站发展状况及其安全报告(2014年)”中指出,中国网站安全问题形势严峻,受境外攻击、控制明显增多,是网络安全问题的受害者。在篡改问题上,2013年被篡改的中国网站数量为24034个,增长了46.7%;其中被篡改的政府网站数量为2430个,大幅增长了34.9%。在植入后门问题上,2013年76160个中国网站被植入网站后门,其中政府网站有2425个。“中国互联网络发展状况统计报告”指出:2014年,总体网民中有46.3%的网民遭遇过网络安全问题。本次调查显示,49.0%的网民表示互联网不太安全或非常不安全。我国互联网使用的安全状况不容乐观。
今天,图书馆尤其是高校图书馆在不断引进数字资源,丰富图书馆的馆藏数字资源的同时,数字化、网络化的图书馆在网络信息安全方面的问题日益突出,受到的各种安全威胁越来越多。
网络信息安全是指防止信息网络本身的安全,包括采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。
具体到数字图书馆网络信息安全是指数字化图书馆网络系统的硬件、软件及其系统中的数据受到保护,不受偶然和恶意因素而遭到破坏、更改、泄露,系统连续正常运行,网络服务不中断。
数字化图书馆系统受到安全威胁,总的来看,主要来自外部和内部两个方面。
1.3.1 外部安全威胁
(1)病毒破坏。病毒威胁同样也是数字化图书馆所面临的安全问题,数字图书馆大多由内、外网构成,一旦内网中的服务器感染病毒就有可能危及整个图书馆信息的安全。(2)后门木马。它的危害大多是隐形的,由于后门木马是以窃取信息同时还能对服务器时行操控,可在管理者不知情的情况下窃取信息,对数字化图书馆有较大的威胁。(3)黑客攻击和信息间谍。这是人为的一种形式,对系统进行入侵、网络窃听、密文破译、流量分析、密钥破解等活动,因为数字化图书馆有大量的资源,其又以破坏或盗窃资源为目的,因此具有很大的威胁性。(4)信息恐怖活动和信息战争。主要是国与国层面的信息战争,这种威胁虽然不是经常出现,但它的危害不容小视。(5)自然灾害。因温度、湿度、灰尘、雷击、静电、地震等因素引起的设备损坏,这种危害发生的几率较小,但一旦发生,后果往往是灾难性的。
1.3.2 图书馆数字化的内部安全威胁
(1)安全意识不强。主要体现在系统管理员和大多数的内部使用者身上,导致信息保护弱化。(2)恶意破坏。主要是内部安全管理人员对内部服务器和网络设备进行的破坏,甚至人为设置故障活动等。(3)内外勾结。主要是内部人员为了金钱等个人利益,给外部人员出卖信息情报资源、透露口令、入侵系统、破坏数据、盗窃资源、破坏系统等。(4)滥用职权。非职责者,非职权者使用系统等。(5)管理疏漏和操作不当。体现在管理上制度不完善、人员组织不合理、缺乏监控措施及权责不清等。
图书馆数字化网络安全需要进行全面详细的考虑。对于常规如有线网络,主要从物理安全、网络安全、软件平台安全和应用安全几个方面相融合考虑安全策略。首先,建立一个全面立体的安全防护墙,以保证图书馆数字化系统其它层的安全。其次,防范病毒也是图书馆数字化系统需要考虑的问题,通过对图书馆数字化网络中服务器和客户端的防护以及在网关处对病毒进行拦截,可以有效预防病毒侵入。
针对图书馆数字化网络安全要解决来自外部和内部的各种非法入侵和攻击、非授权的访问、信息泄露和被窃取等行为,在建立有线图书馆数字化网络安全体系时,要根据图书馆数字化所提供服务路径特征,结合各种网络信息安全防护技术,进行综合保护。如图1所示,给出根据开放式系统互联OSI(Open System Interconnection)模型的常规网络安全结构防护方式。
图1 图书馆数字化网络安全体系
(1)应用层。主要研究事故原因,评估事故的破坏程度。涉及到网络管理,网络监控和系统管理。
(2)网络层。一旦发现在任何时间发生意外事故及危险,立即终止该进程,最大限度地减少运行时间的事故,将事故损害降到最低。技术手段的使用包括应用访问控制,安全过滤,入侵检测,病毒防护。
(3)物理层。使网络系统从通信开始最大限度地降低风险。包括网络分析和规划设计,同时使用网络安全漏洞扫描技术,及时发现事故征兆,并加以控制。可进行预防性安全检查,找到网络安全系统中存在的最大的风险,进行有效纠正。
对于一个可提供完整数字化服务的数字图书馆网络系统来说,一般由单位内网、外部网络和门户网站构成。可在内部网络和外网间设置物理隔离;由于还需要进行数据交换,在外网与门户网站间可采用网闸定时交换所需数据信息,实现逻辑隔离,强化保护。结构如图2所示。
图2 网络应用安全保护
图书馆数字化移动服务实际上是依托国际互联网、无线移动通讯技术以及多媒体技术,通过使用智能手机、掌上电脑、笔记本电脑等便携式移动设备,自由访问数字图书馆系统,方便灵活地进行图书馆文献信息咨询、浏览、检索及获取的一种新型文献信息服务方式。数字化图书馆为读者提供移动、交互、便捷、自由服务。但同时数字化移动图书馆所面临的安全问题也越来越严峻。只有建立一个综合、安全、可靠的移动图书馆信息平台,才能为用户提供长久安全的服务。
上面主要分析了基于有线网络路径提供数字化服务网络信息安全的保护方式。在以数字化图书馆以移动路径方式提供数字化服务时,由于其服务更加灵活和开发,其安全保障体系更显得十分重要。其移动安全系统应进一步完善,应当由安全信息服务平台和移动终端设备组成,总体架构如图3所示。
图3 数字化移动图书馆安全总体结构
数字化图书馆安全信息服务平台应具有身份认证、密钥管理、用户权限管理、数据加解密、信息查询、数据存储管理、网络状态监视和日志管理等功能融为一体;安全信息服务平台能对移动设备用户进行身份认证、加解密与移动设备用之同传输的信息,要根据移动设备用户提供的关键字,从后台数据库中查询相应的数据,并返回给用户,对移动设备用户上传的文件进行统一存储管理;信息服务平台的日志管理模块实时记录不同用户所执行的操作,包括所进行的查询、上传的文件和系统异常,日志中所记录的字段可由系统管理员自由设定。
就目前来看,图书馆数字化环境常用的移动网络安全架构还不够完善,对其进行改进完善是数字化图书馆移动服务快速发展的必然要求,可考虑采用如下两个技术措施进一步完善移动网络体系安全:
(1)在移动终端增加安全措施。这样不至于因使用者出现安全问题而祸及图书馆数字化环境。因此,可在移动终端增加具有移动可信计算功能的独立模块。该模块使其具有安全计算和识别能力,能计算出移动终端中所有软件的完整性,检查所安装和所执行软件的合法性,如果没有授权,就不能安装和执行,但它可与安全服务提供者实现安全通信,并把计算发现的情况随时报告给安全服务提供者。
(2)在移动网络中再添加安全服务提供者角色。在互联网中,软件提供商向移动用户提供的软件让其必须持有安全服务提供者签发的数字证书,只有这样该软件才能被安装和运行使用。因此增加安全服务提供者角色后,可通过其为移动终端提供软件合法性证明,从而避免对图书馆数字化安全体系所造成的威胁和破坏。如图4所示,给出了加上可信服务的移动网络安全结构。
图4 增加可信服务的移动网络安全结构
在如图4的安全结构中,安全服务提供者的服务器是直接接入网络服务器的,因此对已经有的移动网络安全系统结构不会造成大的改动。如果安全服务提供者检查发现软件完整性遭到破坏,则说明终端可能已经染毒了,为了避免终端将病毒扩散到数字化图书馆环境中,就主动不允许其进一步接入图书馆网络系统,以保障数字化图书馆移动服务功能的安全。
使用移动通讯终端设备尤其是智能手机可随时随地接人因特网,但接入Internet不等于不受限制地访问获取图书馆所有资源。比如高校数字化图书馆服务对象主要是本校教职工,是有身份限制的,为了识别访问者身份和信息的安全传输,大多采用了VPN技术。
虚拟专用网VPN(Virtual Private Network)实现不同网络组件和资源之问的相互连接,同时对用户提供透明的服务,利用Internet或其他公共互联网络设施为用户创建一个传输的逻辑隧道,在一个公共网上传输信息时,其它用户不能进入此隧道,这样就为使用者提供一个专用网络信息通道,起到了对资源提供者和访问者的安全保障。
IPSec VPN即指采用IPSec(Internet Protocol Security)协议来实现远程接入的一种VPN技术。在VPN技术中可提供公用和专用网络的端对端加密和验证服务。IPsec提供IP层上的安全服务,这样系统就可以选择所要求的安全协议,以决定服务所使用的算法、配置所需要的密钥,实现数据传输的机密性和完整性。
为通过 IPSec VPN实现移动用户和数字图书馆的端到端的加密传输。在移动终端可安装安全卡和安全软件;在移动公网部署二层隧道协议访问集中器LAC(1ayer 2 tunnel protocol access concentrator)、二层隧道协议访问服务器 LNS(1ayer 2 tunnel protocol network server)和验证授权以及帐户 AAA(authentication、authorization、accounting)提供虚拟专用拨号网服务;对移动安全接入部署防火墙、VPN网关、身份认证鉴别管理、安全策略和评估、监控审计和应用隔离系统进行完善,具体如图5所示。
(1)为了使移动终端系统对移动用户的身份识别更加准确,可采用开机密码或硬件双要素的认证方式;
(2)针对无线虚拟专用拨号网,在拨号过程中加强网络运营商对拨号终端身份认证采用“用户名@域名/口令”的方式;
(3)在移动终端接入IPSec VPN网关时,要对移动终端接入采用数字签名认证。采用通过三次握手周期性对端的身份进行校验,同时在初始链路建立完成时,以及在链路建立之后重复进行。改善审计记录的关联性,以增强安全强度。
图5 基于IPSec VPN安全接入部署结构
在数字化图书馆基于局域网、有线网络以及无线网络针对特定对象提供多路径数字化服务这一特点,如何识别服务对象、发现非服务对象甚至恶意侵入者,对保护图书馆数字化环境体系安全具有十分重要的作用。数字化图书馆虽然大多都有认证功能,但总的来说认证方式比较单一,不能完全适应多路径数字化服务的发展要求。建立一个统一的,各种认证方式相融合、互为补充的身份认证系统迫在眉睫,可考虑将以下认证方式进行融合使用。
现在数字化图书馆大多采用以VPN的方式进行访问接入,IPSec基于证书认证的方式非常适合大型VPN,这也符合数字化图书馆用户不断增加的趋势。它所采用的 PKI(Public Key Infrastructure)安全体系架构,保证了VPN的安全性,并可在必要时,重新颁发证书来增加用户数量。
增加安全数码SD(Secure Digita)扩展卡与终端之间的认证,分别针对扩展卡和读写设备的合法性认证。一是可验证终端卡的合法性,杜绝伪造卡使用的可能;二是可用卡来验证终端的合法性,以判定此终端是否具有读写卡的权限。
SD扩展卡需要持有人使用 PIN(Personal Identification Number)码,即SIM卡的个人识别密码,证明它的身份。当用户将SD扩展卡插入移动终端,在使用之前,系统要求用户要输入只有其本人知道的PIN码,若输入正确,则表明用户为该SD扩展卡的合法拥有者,系统也才能进行SD读写操作,反之就拒绝。
(1)其它常规安全技术保护措施。比如设置防火墙,安装使用网络管理软件,本地与在线杀毒等,这里不作过多叙述。
(2)加强管理体系的建设
①坚持功能规划、建设与网络信息安全建设同步的思想,确保安全的基础条件达标。
②加快建立图书馆数字化安全机制。完善组织机构,加快建立完善图书馆数字化各项安全制度。加大使用安全宣传,共建数字化图书馆网络安全环境。
③对图书馆工作人员进行网络信息安全知识、技能的培训,提高基于数字化服务的安全能力。
在数字化图书馆基于有线网络和无线移动网络提供快速服务的同时,云计算、云存储和物联网技术也正在图书馆数字化服务中得到快速应用。新技术不断融入,也对图书馆数字化服务体系的安全性提出了更多、更高的新要求,图书馆服务体系只有与时俱进,建设适应多路径数字化服务图书馆的综合性网络信息安全保障体系,才能为基于多路径数字化服务图书馆提供安全可靠的服务保障。
我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!